分布式入侵檢測系統(tǒng)管理協(xié)調能力的研究和實現(xiàn).pdf

1、隨著網(wǎng)絡技術的日益發(fā)展，尤其是Internet的迅速普及，網(wǎng)絡安全問題受到越來越多人的關注。傳統(tǒng)的靜態(tài)安全模型已經不能適應新的網(wǎng)絡環(huán)境，動態(tài)安全模型(如PPDR模型)更能適合當前網(wǎng)絡安全的需要，而入侵檢測是PPDR模型中的關鍵一環(huán)。入侵檢測是一種主動的安全防護技術，是對傳統(tǒng)計算機安全技術的補充，已成為網(wǎng)絡安全領域研究中的一個新熱點。 本文首先介紹了當前網(wǎng)絡安全問題的現(xiàn)狀和目前網(wǎng)絡安全防護的主要手段，指出了研究和發(fā)展入侵檢測系統(tǒng)的

2、重要性；然后介紹了入侵檢測系統(tǒng)的概念、分類和通用模型，針對目前入侵檢測系統(tǒng)管理協(xié)調能力不強，自身安全性較差等不足，提出了一種基于CIDF模型的分布式實時入侵檢測系統(tǒng)，系統(tǒng)由中央管理協(xié)調模塊、網(wǎng)絡檢測代理組成。文章主要介紹了入侵檢測系統(tǒng)管理和控制模塊的設計與實現(xiàn)。管理協(xié)調模塊是整個系統(tǒng)的核心，由數(shù)據(jù)庫模塊、分析模塊、響應模塊、用戶界面模塊和通信模塊組成。系統(tǒng)在Windows2000環(huán)境下設計實現(xiàn)，以MicrosoftSQLServer20

3、00為數(shù)據(jù)庫服務器，MicrosoftVC++6.0是主要的開發(fā)工具。 文章在規(guī)則庫定義、攻擊檢測、攻擊響應、通信模塊及系統(tǒng)自身安全性等方面嘗試引入新的原理和技術，加強系統(tǒng)的管理協(xié)調能力。入侵規(guī)則以保留關鍵字和值原語作為基本語義元素，簡單的表達式語法用來對規(guī)則進行自動響應作為缺省響應方式，同時加入手機短信平臺，管理員能夠在其他地方與系統(tǒng)進行交互，具備無人值守自動響應能力；在完善各種被動響應措施的同時，也嘗試采用遠程阻斷、甚至警告

4、攻擊者的主動響應方式。在本地端加裝本地檢測代理負責本網(wǎng)段的攻擊檢測，使用雙網(wǎng)卡，用于檢測的監(jiān)聽網(wǎng)卡不分配IP地址，實現(xiàn)隱蔽監(jiān)聽。按照CIDF模型構造通信模塊，具有與其他符合網(wǎng)絡檢測代理無縫的交互。在通信過程中使用TLS/SSL安全通信機制，采用安全認證技術進行身份識別，采用加密算法實現(xiàn)數(shù)據(jù)安全傳輸，在很多方面加強了系統(tǒng)自身安全性。 通過跨網(wǎng)段測試表明系統(tǒng)簡潔高效，管理協(xié)調能力強，自身安全性高，符合當前網(wǎng)絡和分布式入侵檢測的發(fā)展趨